対象製品
| 製品ブランド | 対象製品 | バージョン |
| SVF | SVF Web Designer | 9.2~10.0 |
| SVF Java Products 関連 | 9.0~10.0 | |
| Report Director Enterprise | ||
| Universal Connect/X | ||
| SVF StraForm | 1.7 | |
| SVF StraForm Volc | 1.7 | |
| SPA | SPA(旧:SVF PDF Archiver) | 9.2 ~10.3 |
| SVF PDF Loader | 9.2 | |
| Dr.Sum(旧:Dr.Sum EA) | Dr.Sum TextOLAP | 5.0~5.1 |
| Dr.Sum EA TextOLAP | 4.0~5.1 | |
| Dr.Sum Datalizer | 5.0~5.1 | |
| Dr.Sum EA Datalizer | 4.1~5.1 | |
| Dr.Sum Connect | 5.0~5.1 | |
| Dr.Sum EA Connect | 3.0~4.1 | |
| MotionBoard | MotionBoard | 4.1、5.0、5.5、6.0 |
| MotionBoard for Dr.Sum | 6.0 | |
| MotionBoard for Dr.Sum EA | 4.1、5.0、5.5 |
内容
Apache Software Foundation が提供するApache Tomcat において、次の脆弱性が発見されました。
SVF・SPA・Dr.Sum・MotionBoard製品において脆弱性の影響を受ける可能性があります。
・意図しないファイルを読み込んでしまう脆弱性(CVE-2020-1938)
⇒悪意のある第三者が AJP(Apache JServ Protocol)リクエストを送信し、Web アプリケーションのルートディレクトリに
ある任意のファイルを読み取られる可能性があります。
Web アプリケーションがファイルのアップロードや保存を許可している場合等では、
遠隔の攻撃者により任意のコードが実行される可能性があります。
【脆弱性対象となるTomcatのバージョン】
Apache Tomcat 7.0.0 から 7.0.99
Apache Tomcat 8.5.0 から 8.5.50
Apache Tomcat 9.0.0.M1 から 9.0.30
参考(外部サイト):
・ IPA
Apache Tomcat における脆弱性(CVE-2020-1938)について 
SVF・SPA製品に対する影響と対応方法
【影響】
CVE-2020-1938 の影響を受ける可能性があるSVF製品は、以下のとおりです。
| 対象製品 | バージョン |
| SVF Web Designer | 9.2~10.0 |
| SVF Java Products 関連 | 9.0~10.0 |
| Report Director Enterprise | 9.0~10.0 |
| Universal Connect/X | 9.0~10.0 |
| SVF StraForm | 1.7 |
| SVF StraForm Volc | 1.7 |
| SPA(旧:SVF PDF Archiver) | 9.2~10.x |
| SVF PDF Loader | 9.2 |
【回避方法】
AJPプロトコルを使用していない場合
[製品インストールフォルダ]/apache-tomcat/conf/server.xmlをテキストエディタで開き、「protocol="AJP/1.3"」とあるConnectorをコメントアウトします。
変更後、製品の各サービスを再起動してください。
AJPプロトコルを使用している場合
接続可能なIPアドレスを指定(例えばループバックIPアドレス127.0.0.1)し、安全なサーバー以外から接続できないようにブロックしてください。
【今後の製品の対応】
製品に同梱のTomcat を修正済バージョンにアップする予定がある製品・対応時期は以下のとおりです。
| 対象製品 | バージョン | 対応時期 |
| SVF Web Designer | 9.2 | Ver.9.2 Service Pack9にて対応済 |
| SVF Java Products 関連 | ||
| Report Director Enterprise | ||
| Universal Connect/X | ||
| SVF Web Designer | 10.0 | Ver.10.1にて対応済 |
| SVF Java Products 関連 | ||
| Report Director Enterprise | ||
| Universal Connect/X | ||
| SPA(旧:SVF PDF Archiver) | 9.3 | 対応時期が決定した後、本ページにてご案内します |
| 10.0 | 対応時期が決定した後、本ページにてご案内します |
Dr.Sum製品に対する影響
【影響】
CVE-2020-1938 の影響を受ける可能性があるDr.Sum 製品とその対応方法は、以下のとおりです。
なお、Dr.Sum Connect、Dr.Sum EA Connectに関しては、影響の有無を確認中です。
| 対象製品 | バージョン |
| Dr.Sum Datalizer | 5.0~5.1 |
| Dr.Sum EA Datalizer | 4.1~5.1 |
Dr.Sum TextOLAPおよびDr.Sum EA TextOLAPに関しては、AJPを使用していないため影響を受けません。
【対応方法】
他のWebサーバー等からの連携等でAJPを使用している場合
ファイアウォールなどを使用して、AJPで使用しているポートにWebサーバー等以外から接続できないようにブロックしてください。
他のWebサーバー等からの連携等でAJPを使用していない場合(標準)
AJPを無効にします。server.xmlをテキストエディタで開き、「protocol="AJP/1.3"」とあるConnectorをコメントアウトします。
変更後、Datalizer Serverの各サービスの再起動が必要です。
Datalizerで修正対象となる(AJPが有効になっている)server.xmlは以下のとおりです。
| バージョン | Server.xml | AJPのポート |
| Ver.4.1~4.2 | [インストールフォルダ]\tomcat\instances\sms\conf [インストールフォルダ]\tomcat\instances\sps\conf |
8349 8109 8209 |
| Ver.4.0~5.1 | [インストールフォルダ]\tomcat\instances\sps\conf | 8109 |
MotionBoard製品に対する影響
【影響】
CVE-2020-1938 の影響を受ける可能性があるMotionboard製品は、次のとおりです。
| 対象製品 | バージョン |
| MotionBoard | 4.1、5.0、5.5、6.0 |
| MotionBoard for Dr.Sum | 6.0 |
| MotionBoard for Dr.Sum EA | 4.1、5.0、5.5 |
【回避方法】
他のWebサーバー等からの連携等でAJPを使用している場合は、ファイアウォールなどを使用して、AJPで使用しているポートにWebサーバー等以外から接続できないようにブロックしてください。
【今後の製品の対応】
製品に同梱のTomcat を修正済バージョンにアップする予定がある製品・対応時期は以下のとおりです。
| 対象製品 | バージョン | 対応バージョン |
| MotionBoard | 6.0 |
Ver.6.1(2020年6月1日リリース予定)にて対応予定 Ver.6.0 でのパッチリリースについては、現在検討中です。 |
| MotionBoard for Dr.Sum |
更新履歴
| 更新日 | 概要 |
| 2020/03/23 | 公開 |
| 2020/08/07 | Ver.9.2 SP9の対応状況を更新しました |
| 2020/08/21 | SPA の対応時期を、Ver.9.3 SP8、Ver.10.4対応予定から変更しました。 |
| 2021/05/10 | Ver.10.1の対応状況を更新しました |